Лично я считаю, что фильтрация на основе DNS будет становиться всё более важной, ведь угрозы в конечном итоге зависят либо от DNS, либо от заранее посчитанных хешей IP-адресов для связи. Когда специалисты по безопасности ловят и анализируют угрозы, эти заранее посчитанные IP-хеши легко заносить в черные списки. Доменные имена намного удобнее для злоумышленников, поэтому закрыть этот путь «нахождения родного дома» — ключевая задача. Если вредоносное ПО не может найти IP-адрес своей базы (или сайта-ловушки для фишинга и т.п.), угроза нейтрализована.
Полагаю, я просто не ищу DPI-сервис в Mikrotik по нескольким причинам. Во-первых, его основная функция — быть маршрутизатором, а не файрволом. Правила файрвола довольно гибкие и позволяют создавать всякие оригинальные, порой сомнительные конфигурации для разных задач. Однако главная ценность ROS — это именно маршрутизация, и в этом сегменте ещё много недоработок, много нужно обновлять и улучшать. Функционал IPv6 сейчас есть, но очень базовый. Если не развиваться в этом направлении, это будет постепенная гибель ROS как платформы для маршрутизации по мере роста популярности IPv6.
Во-вторых (и это не упрёк Mikrotik), я не думаю, что у компании достаточно ресурсов, чтобы уходить в такое узкоспециализированное направление, как устройства безопасности с глубоким анализом пакетов. Возьмём, например, CapsMan — замечательная штука, и, признаться, у меня с ней мало опыта, но она не кажется настолько развитой и функциональной, как другие Wi-Fi контроллеры, которые на рынке уже много лет. Это решение от Mikrotik, позволяющее сделать «все в одном», но оно не будет таким же мощным и «навороченным», как специализированное.
Сам ROS, как всем известно в сообществе, часто страдает от багов с выходом новых версий (здесь Mikrotik молодцы с постоянными патчами). Разработку The Dude — NMS-решения Mikrotik — долго тормозили, судя по разным обсуждениям, из-за отсутствия сотрудников внутри компании. Продукты Mikrotik известны тем, что у них много шероховатостей на старте (2011-й имел проблемы, 3011-й стал надежнее только спустя год, кажется, при запуске линий CCR были неприятности с платформой tilera и так далее).
Все это складывается в картину, и если бы Mikrotik выпустил DPI-модуль для RouterOS, действительно ли вы захотели бы доверять безопасность своей сети продукту-новичку от Mikrotik? Для домашней сети — возможно, для студенческой компьютерной лаборатории, гостевой сети и тому подобного — вполне подходит. Такой модуль мог бы стать полезным для ROS, а спустя несколько лет развития — вполне надежной функцией.
Лично я не люблю «все в одном». Из моего опыта такие решения либо предлагают много возможностей среднего качества (ничего выдающегося), либо при серьёзной нагрузке начинают плохо масштабироваться и теряют производительность (представьте, что кто-то пытается использовать mAP lite в качестве PE-маршрутизатора MPLS — поддерживается, но...).
Лучше иметь отличный файрвол и отличный маршрутизатор по отдельности, чем один средний девайс у входа в сеть. Особенно это важно в вопросах безопасности — ложное чувство защищённости порой хуже, чем полной отсутствия защиты.
Опять же, это не критика Mikrotik — они делают классные штуки и прекрасно справляются с тем, что умеют, и за хорошую цену, но они не панацея. Я бы предпочёл, чтобы они сосредоточились на совершенствовании функций маршрутизации, а не распылялись на развитие полноценного файрвола.
